美国环保局回应,未能按照联邦规定时间表修补系统,原因是安全资源不足、关键漏洞过多。
安全内参7月7日消息,一份最新监察报告显示,美国环保局(EPA)未能跟踪、修补数千个涉及环境和辐射数据的关键漏洞。这一安全缺陷可能对公共健康构成重大风险。
美国环保局监察长办公室周三发布的报告称,根据联邦命令,环保局应在规定时间内解决辐射数据分析系统(ARaDS)的已知漏洞,然而,环保局未能做到这一点。
ARaDS是一个信息技术框架,用于收集、分析全美范围内的空气、降水、饮用水和土壤辐射监测数据,并针对全国性辐射事故发出预警。
对美国环保局网络的扫描发现了超过两万个关键漏洞实例。这些漏洞可能对远程计算机产生拒绝服务攻击、内存损坏和远程代码执行等影响。监察长办公室从中选定了8个关键漏洞进行审查,发现美国环保局未能充分跟踪、彻底修补这些漏洞。
监察报告显示:“ARaDS系统收集、分析和托管的数据十分重要,如遭泄露,会对公共健康构成重大风险。”
美国国家标准与技术研究院(NIST)要求联邦机构,在2个自然日内修补关键漏洞,7天内修补中危漏洞,30天内修补低危漏洞。
美国环保局官员将ARaDS系统关键补丁安装进度滞后归因于系统“关键漏洞数量过多”、“现有资源不足以解决漏洞”。
监察报告称,美国环保局在成熟度模型指标上只得到3分(满分为5分)。这说明,美国环保局虽然一直遵循2014年《联邦信息安全现代化法案》规定,实施信息安全政策和程序,但是“缺少定量、定性评估相关工作有效性的措施”。
监察长报告建议美国环保局制定实施计划,优先安排在规定时间内为已知漏洞打补丁,并将如下要求纳入监测指南:应更及时地审查新信息安全程序,并分配漏洞跟踪、评估进度等职责。
美国环保局当前遵守的IT评估程序已经过时。该程序要求美国环保局在三年内达到联邦命令要求,而美国管理和预算办公室要求联邦机构在NIST标准发布后一年内达到标准要求。
美国环保局同意监察长办公室提出的三项建议,提出了纠正措施,并附上了跟踪、修补上述漏洞的时间表。
空气与辐射办公室主任助理主管Joseph Goffman在回应监察报告时提到,上述漏洞未能解决,一定程度上是因为制造商不会定期用于测量辐射数据的核辐射计数器。美国环保局准备在空气与辐射办公室新增两个网络安全职位,负责漏洞监测修补,为替换过时软件的硬件解决方案提供资金。
美国环保局还希望从技术现代化基金获得250万美元投资,进一步打造现代化的ARaDS系统网络。
原文始发于微信公众号(安全内参):年审发现2万个关键漏洞且迟迟不修,这家政府机构遭通报
评论